Un "nuevo" ataque con "cara bonita" y mucho (bullshit y FUD) "expone" una supuesta combinada entre Windows y los antivirus (y cualquier otra aplicación).

Sigue leyendo para saber la verdad...

"Investigadores" de la firma de seguridad Cybellum descubrieron "tomaron prestada" una investigación de otra persona sobre vulnerabilidad combinada que afecta a los sistemas operativos Windows XP hasta la versión más reciente, Windows 10 y a varios antivirus.

FUD: este ataque no es novedoso, existe hace décadas y es una total falta de respecto que esta empresa lo publique como investigación y sólo con una linda imagen. Si tienes permisos de administrador, ya tienes todo lo que necesitas...

Pero, sigamos...

Application Verifier es la herramienta de Microsoft involucrada en este "problema de seguridad", con la cual los desarrolladores pueden cargar un archivo DLL en sus aplicaciones para detectar problemas. Específicamente esta es una herramienta que permite a los desarrolladores detectar y solucionar fallos en sus aplicaciones. De la misma manera, los atacantes pueden usar la utilidad para inyectar archivos DLL maliciosos en cualquier programa mediante el ataque DoubleAgent.

Por diseño, este ataque es una técnica de inyección de código y también puede utilizarse como mecanismo de persistencia, ya que permite a un atacante inyectar una DLL malintencionada dentro de un proceso y, a través de la modificación del registro, volver a arrancar después de cada reinicio.

Inclusive podría tomarse el control de los sistemas operativos, pero también de los productos antivirus, permitiéndoles secuestrarlos para transformarlos en software malicioso, como ransomware. Entre los antivirus vulnerables se encuentran Avast, AVG, Avira, Bitdefender, Trend Micro, Comodo, ESET, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda, Quick Heal y Norton.
Las compañías responsables de las soluciones antivirus fueron notificadas al respecto hace tres meses, pero hasta ahora sólo Malwarebytes y AVG han lanzado sus respectivos parches. Trend Micro asegura que pronto lanzará el suyo, mientras que el resto no se han manifestado.

¿Cómo funciona DoubleAgent?

DoubleAgent explota una herramienta legítima y no-documentada de Windows llamada Microsoft Application Verifier, que es una herramienta incluida en todas las versiones de Microsoft Windows y que se utiliza como herramienta de verificación en tiempo de ejecución para descubrir y corregir errores en las aplicaciones.

El ataque de DoubleAgent es peligroso porque secuestra un producto de seguridad, desactivándolo de forma efectiva. Dependiendo del nivel de habilidad, un atacante podría usar la falla DoubleAgent para:

• Apagar un producto de seguridad;
• Hacer que el producto de seguridad "quede ciego" frente a otros programas maliciosos;
• Utilizar el producto de seguridad como proxy para lanzar otros ataques en la red local;
• Aumentar el nivel de privilegios de los usuarios porque los productos de seguridad normalmente se ejecutan con los privilegios más altos;
• Utilizar el producto de seguridad para ocultar el tráfico malicioso o exfiltrar datos;
• Dañarr el sistema operativo o la computadora;
• Causar ataques de denegación de servicio

Mitigación

Desde hace tres años Microsoft proporciona un nuevo concepto de diseño llamado Protected Processes. Este concepto está especialmente diseñado para los servicios de seguridad porque estos pueden crearse como "Procesos Protegidos" y así sólo se permite cargar código confiable, firmado y que tenga una defensa integrada contra ataques de inyección de código. Actualmente ningún antivirus (excepto Windows Defender) ha implementado este diseño.

La verdad

La empresa ha publicado otros videos pero mientras tanto el experto Alex Ionescu acusó a Cybellum de robar su investigación (1, 2, 3, 4 ,5) luego de haber asistido a una de sus charlas.

Fuente: Blog de Cybellum | BleepingComputer